- 締切済み
SolarisのBSMのログがうまくとれません
Solaris5.8のBSMで、すべてのファイルイベントを取るように /etc/security/audit_controlに flags: fw,fc,fd,pc naflags: fw,fc,fd,pc を追加したのですが、一部とれないログがあって困っています。 たとえば、 SunOS5.8のftpにログインして、mkdir testとすると、 auditreduce | praudit でtestが生成されたログが表示できますが、 wu-ftpd-2.6.1をインストールして、inetdに設定して wu-ftpdにログインして、mkdir testをすると auditreduce | praudit でtestが生成されたログが表示されません。 標準のftpdにinetd.confを直すと、またログが取れるようになります。 なにが悪いのでしょうか?
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- prowler
- ベストアンサー率75% (3/4)
結論からいいますと、wu-ftpdがBSMに対応していません。 # ldd /usr/sbin/in.ftpd libcmd.so.1 => /usr/lib/libcmd.so.1 libsocket.so.1 => /usr/lib/libsocket.so.1 libnsl.so.1 => /usr/lib/libnsl.so.1 libbsm.so.1 => /usr/lib/libbsm.so.1 libpam.so.1 => /usr/lib/libpam.so.1 libdl.so.1 => /usr/lib/libdl.so.1 libc.so.1 => /usr/lib/libc.so.1 libmp.so.2 => /usr/lib/libmp.so.2 /usr/platform/SUNW,Ultra-4/lib/libc_psr.so.1 BSM で制御できるアプリケーションに関しては http://docs.sun.com/?l=ja&q=ftp&p=/doc/806-2723/6jbu0cho3&a=view 「ユーザレベルで生成される監査レコード」に記載があります。 libbsm(3BSM) を使用して書き換えれば所望の動作を 得られると思いますが、経験がないのでよくわかりません。
